Configuration des intégrations

Partager

Cet article est-il utile ?

Dernière mise à jour :

Intégrer VirusTotal à votre console PhishER

Le sous-onglet VirusTotal de vos paramètres PhishER vous permet de configurer l’intégration de VirusTotal à votre console PhishER. VirusTotal est un service qui analyse les fichiers en s’appuyant sur plus de 70 scanners d’antivirus pour détecter tout contenu malveillant. Pour intégrer votre compte VirusTotal à PhishER, vous devez disposer d’une clé API active pour VirusTotal. Si vous n’avez pas de compte VirusTotal, vous pouvez en créer un gratuitement sur le site Web site Web de VirusTotal (le lien s'ouvre dans une nouvelle fenêtre) de VirusTotal.

Remarque : KnowBe4 a reçu l’autorisation de VirusTotal pour l’intégration à l’API VirusTotal publique, qui est gratuite. Lorsque vous exécutez une analyse sur votre console PhishER, cette API est limitée à 500 requêtes par jour et à quatre requêtes par minute. Pour obtenir plus d’informations, consultez l’article de VirusTotal Présentation de la version 3 de l’API VirusTotal Présentation de la version 3 de l’API VirusTotal (le lien s'ouvre dans une nouvelle fenêtre).

Configuration de l’intégration

Pour configurer l’intégration, remplissez les champs du sous-onglet VirusTotal de vos paramètres PhishER. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous :

  1. Disabled ou Enabled (Désactivée/Activée) : ce commutateur permet d’activer ou de désactiver l’intégration.
  2. Enter your VirusTotal key (Saisissez votre clé VirusTotal) : saisissez votre clé VirusTotal dans ce champ. Pour obtenir plus d’informations, consultez l’article de VirusTotal Obtention d’une clé API Obtention d’une clé API (le lien s'ouvre dans une nouvelle fenêtre).
  3. (Facultatif) VirusTotal Automatic Scanning (Analyse automatique VirusTotal) : configurez dans cette section les paramètres permettant à VirusTotal d’analyser automatiquement des parties d’un message. Consultez la liste ci-dessous pour en savoir plus sur ces options :
    • Automatically scan ALL Attachments (Hashes Only) (Analyser automatiquement TOUTES les pièces jointes [hachages uniquement]) : si vous cochez cette case, VirusTotal recevra un hachage de toutes les pièces jointes de votre boîte de réception PhishER.
    • Automatically scan ALL URLs (Analyser automatiquement TOUTES les URL) : si vous cochez cette case, VirusTotal recevra automatiquement toutes les URL de votre boîte de réception PhishER.
    • Timeout if no response (seconds) (Expiration en cas d’absence de réponse [secondes]) : entrez un nombre de secondes pour appliquer à vos résultats d’analyse VirusTotal un délai d’expiration personnalisé. Si VirusTotal ne renvoie aucun résultat dans ce délai, un tag VT_Bypassed sera appliqué au message correspondant. Par défaut, le délai d’expiration est de 120 secondes. Pour en savoir plus sur les tags pouvant être appliqués au message, consultez la section Tags VirusTotal de cet article.
  4. (Facultatif) Detection Threshold (Seuil de détection) : dans cette section, vous pouvez définir le nombre minimum de détections par les scanners antivirus nécessaires pour déterminer si une pièce jointe ou une URL est malveillante.
    • Minimum Antivirus Scanner Detections for VT_Bad Tag (Détections minimum par des scanners antivirus pour le tag VT_Bad) : saisissez le nombre minimum de scanners antivirus devant déterminer qu’une pièce jointe ou une URL est malveillante pour que le tag VT_Bad soit appliqué au message correspondant. Par défaut, ce seuil est fixé à un, et vous pouvez le définir jusqu’à un maximum de 50. La mise à jour de ce paramètre n’affectera pas les messages déjà marqués d’un tag, mais les futures analyses marqueront tous les nouveaux messages correspondant au seuil. Si le seuil est défini sur un nombre supérieur à un, et que les résultats de votre analyse VirusTotal ne l’atteignent pas, mais sont supérieurs à zéro, un tag VT_Suspicious sera appliqué au message. Pour en savoir plus sur les tags pouvant être appliqués au message, consultez la section Tags VirusTotal de cet article.

  5. Ignored Domains (Domaines ignorés) : indiquez les domaines que VirusTotal doit ignorer pendant une analyse. Passez à la ligne lorsque vous ajoutez un nouveau domaine à la liste. L’ajout d’un domaine à cette liste entraîne également l’exclusion de ses sous-domaines. En revanche, l’ajout d’un sous-domaine n’entraîne pas l’exclusion du domaine. L’utilisation de caractères génériques (*) et d’URI (Uniform Resource Identifier) n’est pas prise en charge.

    Important :pour obtenir une liste des domaines KnowBe4 qui ne doivent pas être envoyés à VirusTotal en tant que liens ou pièces jointes, consultez la section Exclusion de domaines KnowBe4 des analyses de cet article.
  6. Save (Enregistrer) : cliquez sur ce bouton pour mettre à jour les paramètres de votre intégration VirusTotal.

Analyse avec VirusTotal

Une fois votre compte VirusTotal intégré à votre console PhishER, vous pouvez lancer une analyse VirusTotal sur les URL et les pièces jointes des messages. Pour cibler une URL ou pièce jointe spécifique, cliquez sur Scan with VirusTotal (Analyser avec VirusTotal) sur la page Message Details (Détails du message).

Vous pouvez également lancer une analyse VirusTotal sur une sélection de messages lorsque vous exécutez à nouveau vos règles et actions. Pour en savoir plus sur ces options, consultez notre Guide relatif à la PhishER Inbox (Boîte de réception PhishER).

VirusTotal attribue aux messages analysés un ou plusieurs tags correspondant aux résultats de l’opération. Pour en savoir plus sur les tags pouvant être appliqués aux messages, consultez la section Tags VirusTotal de cet article.

Important : si vous activez les paramètres dans la section VirusTotal Automatic Scanning (Analyse automatique VirusTotal), VirusTotal recevra automatiquement tous les liens ou hachages des pièces jointes que PhishER est autorisé à envoyer pour analyse avec VirusTotal. Vous pouvez exclure des URL en ajoutant leurs domaines à votre liste Domaines ignorés. Les URL analysées et les pièces jointes hachées seront partagées publiquement avec la communauté VirusTotal afin de la sensibiliser aux contenus malveillants identifiés. Si vous soumettez un fichier manuellement, l’intégralité de la pièce jointe est partagée publiquement avec les résultats analysés. Gardez cela à l’esprit lorsque vous lancez des analyses VirusTotal sur des URL ou des pièces jointes contenant des informations sensibles.

Exclusion de domaines KnowBe4 des analyses

Plusieurs domaines KnowBe4 ne doivent pas être soumis à des analyses VirusTotal en tant que liens ou pièces jointes. Vous pouvez les indiquer dans le champ Ignored Domains (Domaines ignorés) du sous-onglet VirusTotal de vos paramètres PhishER. Pour les connaître, reportez-vous à la liste suivante :

  • kb4.io
  • comano.us
  • magnetonics.com
  • bloemlight.com
  • instantrevert.net
  • phishing.guru
  • phishtrain.org
  • malwarebouncer.com
  • phish.farm
  • microransom.us
  • msftemail.com
  • compromisedblog.com
  • com-onlinebanking.com
  • com-token-auth.com
  • 2O2.lOl
  • protected-forms.com
  • cert-sha256.com
  • wishyoudidntclickthis.com
  • cert-sha256.co.uk
  • internalportal.net
  • twittermessage.net
  • my-cloud-mail.com
  • linkedlnu.com
  • farenheit.net
  • gooqleonline.com
  • donotreply.biz
  • aøl.com
  • exchamge.org
  • allibaba.org
  • voipmessage.uk
  • efaxonline.org
  • bltly.us
  • twittermessage.co.uk
  • www-com.co.uk
  • srvgov.com
  • gooqle.eu
  • allibaba.eu
  • yourgunnalovetraining.com
  • succesful.org

Tags VirusTotal

Dans la section des tags VirusTotal du sous-onglet VirusTotal, vous pouvez consulter les tags que VirusTotal peut associer à vos messages une fois leur analyse terminée. En fonction des résultats, VirusTotal applique un ou plusieurs tags aux messages. Pour en savoir plus sur les tags de VirusTotal, consultez la liste ci-dessous :

  1. VT_Pending : ce tag est associé à un message quand l’analyse VirusTotal est mise en file d’attente. Il sera supprimé une fois l’analyse achevée.
  2. VT_Bad : ce tag est associé à un message lorsqu’une analyse VirusTotal identifie une pièce jointe malveillante.
  3. VT_Suspicious : ce tag est associé à un message lorsqu’une analyse VirusTotal identifie qu’une pièce jointe ou une URL est suspecte, mais non confirmée comme malveillante. Vous pouvez définir le seuil de détection des pièces jointes et URL malveillantes grâce au paramètre Minimum Antivirus Scanner Detections (Détection minimum par des scanners antivirus).
  4. VT_Scanned : ce tag est associé à un message lorsqu’une analyse VirusTotal est arrivée à son terme et a déterminé que la pièce jointe n’est pas malveillante.

  5. VT_Bypassed : ce tag est associé à un message quand une analyse VirusTotal ne répond pas dans les délais impartis. Il s’accompagne généralement d’autres tags VirusTotal. Vous pouvez définir un délai d’expiration personnalisé dans les paramètres VirusTotal Automatic Scanning (Analyse automatique VirusTotal).

    Remarque : en cas de dépassement du délai d’attente de VirusTotal, PhishER autorisera l’exécution d’actions automatisées sur le message pendant que la console attend l’arrivée des résultats de VirusTotal. Une fois les actions automatisées effectuées, VirusTotal peut finir d’associer des tags au message. Les actions automatisées ne seront pas effectuées à nouveau après l’obtention des résultats de l’analyse.
  6. VT_Hash_not_found : ce tag est associé à un message lorsqu’une analyse VirusTotal ne renvoie aucune correspondance pour les pièces jointes hachées.
  7. VT_Ignored : ce tag est associé à un message lorsque des URL ou des domaines présents dans votre liste blanche sont détectés dans un message.
Remarque : les analyses pouvant se terminer à des moments différents ou donner des résultats variables, plusieurs tags VT peuvent être associés à un message contenant plusieurs pièces jointes.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance